Siamo stati contattati da un "ricercatore indipendente sulla sicurezza" tramite il progetto Open Bug Bounty. Le prime comunicazioni erano abbastanza OK e ha rivelato la vulnerabilità rilevata. Abbiamo riparato il buco e detto "grazie", ma abbiamo rifiutato di pagare una donazione (vedi sotto).
Il ricercatore ha quindi inviato un'e-mail di follow-up dicendo che ha trovato più vulnerabilità, ma perché non l'abbiamo fatto ' Per fare una donazione, manterrà per sé quelle vulnerabilità.
In altre parole, ci ha solo detto che aveva più vulnerabilità, ma non le avrebbe rivelate, dopo che abbiamo deciso di non pagare la donazione volontaria suggerita.
A quanto mi risulta, questo non è più in linea con il comportamento responsabile del cappello bianco. Ho ragione in questa affermazione?
Aggiorna
Sì, la persona è stata abbastanza esplicita riguardo all'importo suggerito per la donazione.
I vari motivi per non pagare la "donazione" richiesta sono:
- l'altezza suggerita della "donazione volontaria" in combinazione con la gravità della vulnerabilità rilevata,
- la vulnerabilità in questione, secondo i nostri log, non è stata rilevata da un individuo "altamente qualificato", ma piuttosto da uno strumento automatico,
- il fatto che il progetto Open Bug Bounty menziona esplicitamente che non è richiesto alcun pagamento,
- il tono di voce aggressivo passivo.
Quanto sopra, in combinazione con il fatto che, mentre siamo in procinto di impostando un budget per i bug bounty e le norme associate, non l'abbiamo ancora completato.
Siamo chiari: non abbiamo impostato un bounty, né promesso uno e lo abbiamo fatto non iscriverti a questo progetto. Il progetto Open Bug Bounty è un progetto non affiliato, che dice esplicitamente: " Non c'è, tuttavia, assolutamente alcun obbligo o dovere di esprimere una gratitudine ".
Inoltre, nota: sebbene io sia a favore di una sorta di quadro giuridico per proteggere i ricercatori in buona fede sulla sicurezza, questo quadro giuridico, al momento, non esiste nella nostra giurisdizione; un fatto che la nostra persona giuridica ci teneva fin troppo a sottolineare.